Εάν χρησιμοποιείτε Windows XP κατά τη σύνδεση στο διακομιστή, ενδέχεται να λάβετε ένα σφάλμα: "Ο απομακρυσμένος υπολογιστής απαιτεί έλεγχο ταυτότητας σε επίπεδο δικτύου, το οποίο αυτός ο υπολογιστήςδεν υποστηρίζουν».

Αυτό το σφάλμαπροκύπτει λόγω του γεγονότος ότι αρχικά ο έλεγχος ταυτότητας σε επίπεδο δικτύου δεν εφαρμόστηκε στα Windows XP, αυτή η ευκαιρίαοι προγραμματιστές το εφάρμοσαν σε επόμενα λειτουργικά συστήματα. Ένα αρχείο ενημέρωσης κυκλοφόρησε επίσης αργότερα KB951608το οποίο διόρθωσε αυτό το σφάλμα και επέτρεψε στα Windows XP να εφαρμόσουν έλεγχο ταυτότητας σε επίπεδο δικτύου.

Για να μπορέσετε να συνδεθείτε σε έναν διακομιστή απομακρυσμένης επιφάνειας εργασίας από τον υπολογιστή σας με Windows XP, πρέπει να εγκαταστήσετε το Service Pack 3 (SP3) και στη συνέχεια να κάνετε τα εξής:

Στον επίσημο ιστότοπο της Microsoft στη ρωσική σελίδα https://support.microsoft.com/ru-ru/kb/951608κατεβάστε το αρχείο αυτόματης επιδιόρθωσης. Κάντε κύλιση στη σελίδα και κάντε κλικ στο κουμπί "Λήψη" στην ενότητα "Βοήθεια στην επίλυση του προβλήματος".

Μια αγγλική σελίδα είναι επίσης διαθέσιμη σε εσάς. https://support.microsoft.com/en-us/kb/951608όπου μπορείτε να κάνετε λήψη αυτού του αρχείου κάνοντας κλικ στο κουμπί "Λήψη" στην ενότητα "Πώς να ενεργοποιήσετε το CredSSP"

Αφού ολοκληρωθεί η λήψη του αρχείου, εκτελέστε το για εκτέλεση. Μετά την εκτόξευση αυτό το αρχείοΘα δείτε ένα παράθυρο προγράμματος. Στο πρώτο βήμα, επιλέξτε το πλαίσιο «Αποδέχομαι». Στο δεύτερο βήμα, κάντε κλικ στο κουμπί "Επόμενο".

Μόλις ολοκληρωθεί η εγκατάσταση, θα δείτε το ακόλουθο παράθυρο με την ειδοποίηση "Αυτή η επιδιόρθωση της Microsoft έχει υποβληθεί σε επεξεργασία." Το μόνο που έχετε να κάνετε είναι να κάνετε κλικ στο "Κλείσιμο".

Αφού κάνετε κλικ στο κουμπί "Κλείσιμο", το πρόγραμμα θα σας πει ότι πρέπει να επανεκκινήσετε τον υπολογιστή σας για να τεθούν σε ισχύ οι αλλαγές, κάντε κλικ στο "Ναι" για επανεκκίνηση.

Λύστε το πρόβλημα μόνοι σας χωρίς να κάνετε λήψη αρχείου

Εάν έχετε δεξιότητες διαχείρισης, μπορείτε να κάνετε αλλαγές στο μητρώο του υπολογιστή σας με μη αυτόματο τρόπο, χωρίς να χρειάζεται να κάνετε λήψη ενός αρχείου ενημέρωσης κώδικα.

1. Κάντε κλικ στο κουμπί Αρχή, επιλέξτε αντικείμενο Τρέξιμο, εισάγετε την εντολή regeditκαι πατήστε το πλήκτρο Εισαγω

Μετά την εγκατάσταση της ενημέρωσης KB4103718 στον υπολογιστή μου με Windows 7, δεν μπορώ να συνδεθώ απομακρυσμένα στον διακομιστή. Windows Server 2012 R2 μέσω απομακρυσμένης επιφάνειας εργασίας RDP. Αφού καθορίσω τη διεύθυνση διακομιστή RDP στο παράθυρο προγράμματος-πελάτη mstsc.exe και κάνω κλικ στο "Σύνδεση", εμφανίζεται το σφάλμα:

Απομακρυσμένη σύνδεση επιφάνειας εργασίας

Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας.

Καθορισμένη λειτουργίαΔεν υποστηρίζεται.
Απομακρυσμένος υπολογιστής: όνομα υπολογιστή

Αφού απεγκατέστησα την ενημέρωση KB4103718 και επανεκκίνησα τον υπολογιστή, η σύνδεση RDP άρχισε να λειτουργεί καλά. Αν καταλαβαίνω καλά, αυτό είναι μόνο μια προσωρινή λύση, μέσα τον επόμενο μήναΘα έρθει ένα νέο πακέτο αθροιστικής ενημέρωσης και θα επιστρέψει το σφάλμα; Μπορείτε να προτείνετε κάτι;

Απάντηση

Έχετε απόλυτο δίκιο ότι είναι άσκοπο να λύσετε το πρόβλημα, γιατί έτσι εκθέτετε τον υπολογιστή σας στον κίνδυνο εκμετάλλευσης διαφόρων ευπαθειών που καλύπτονται από ενημερώσεις κώδικα σε αυτήν την ενημέρωση.

Δεν είσαι μόνος στο πρόβλημά σου. Αυτό το σφάλμα μπορεί να εμφανιστεί σε οποιοδήποτε λειτουργικό σύστημα Windows ή Windows Server (όχι μόνο στα Windows 7). Για Άγγλους χρήστες εκδόσεις Windows 10, όταν προσπαθείτε να συνδεθείτε σε έναν διακομιστή RDP/RDS, ένα παρόμοιο σφάλμα μοιάζει με αυτό:

Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας.

Η λειτουργία που ζητήθηκε δεν υποστηρίζεται.

Απομακρυσμένος υπολογιστής: όνομα υπολογιστή

Το σφάλμα RDP "Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας" μπορεί επίσης να εμφανιστεί κατά την προσπάθεια εκκίνησης εφαρμογών RemoteApp.

Γιατί συμβαίνει αυτό? Το γεγονός είναι ότι ο υπολογιστής σας διαθέτει τις πιο πρόσφατες ενημερώσεις ασφαλείας (που κυκλοφόρησαν μετά τον Μάιο του 2018), οι οποίες διορθώνουν μια σοβαρή ευπάθεια στο πρωτόκολλο CredSSP (Credential Security Support Provider) που χρησιμοποιείται για έλεγχο ταυτότητας σε διακομιστές RDP (CVE-2018-0886) (Συνιστώ να διαβάσετε το άρθρο). Ωστόσο, στο πλάι του διακομιστή RDP / RDS στον οποίο συνδέεστε από τον υπολογιστή σας, αυτές οι ενημερώσεις δεν είναι εγκατεστημένες και το πρωτόκολλο NLA (Network Level Authentication) είναι ενεργοποιημένο για πρόσβαση RDP. Το πρωτόκολλο NLA χρησιμοποιεί μηχανισμούς CredSSP για τον προέλεγχο των χρηστών μέσω TLS/SSL ή Kerberos. Ο υπολογιστής σας, λόγω των νέων ρυθμίσεων ασφαλείας που εισήγαγε η ενημέρωση που εγκαταστήσατε, απλώς αποκλείει τη σύνδεση απομακρυσμένος υπολογιστής, το οποίο χρησιμοποιεί μια ευάλωτη έκδοση του CredSSP.

Τι μπορείτε να κάνετε για να διορθώσετε αυτό το σφάλμα και να συνδεθείτε στον διακομιστή RDP;

1. Πλέον σωστόςτρόπος επίλυσης του προβλήματος - εγκατάσταση πιο πρόσφατες ενημερώσεις Ασφάλεια των Windowsστον υπολογιστή/διακομιστή στον οποίο συνδέεστε μέσω RDP.
2. Προσωρινή μέθοδος 1 . Μπορείτε να απενεργοποιήσετε τον έλεγχο ταυτότητας επιπέδου δικτύου (NLA) από την πλευρά του διακομιστή RDP (περιγράφεται παρακάτω).
3. Προσωρινή μέθοδος 2 . Μπορείτε, από την πλευρά του πελάτη, να επιτρέψετε συνδέσεις σε διακομιστές RDP με μια μη ασφαλή έκδοση του CredSSP, όπως περιγράφεται στο άρθρο που συνδέεται παραπάνω. Για να γίνει αυτό πρέπει να αλλάξετε το κλειδί μητρώου AllowEncryptionOracle(Εντολή REG ADD
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) ή αλλάξτε τις ρυθμίσεις τοπική πολιτική Κρυπτογράφηση Oracle Remediation/ Fix encryption oracle vulnerability), ορίζοντας την τιμή του = Vulnerable / Leave vulnerability).

   Αυτό ο μόνος τρόποςπρόσβαση σε απομακρυσμένο διακομιστή μέσω RDP, εάν δεν έχετε τη δυνατότητα να συνδεθείτε στον διακομιστή τοπικά (μέσω της κονσόλας ILO, εικονική μηχανή, διεπαφή cloud, κ.λπ.). Σε αυτήν τη λειτουργία, θα μπορείτε να συνδεθείτε σε έναν απομακρυσμένο διακομιστή και να εγκαταστήσετε ενημερώσεις ασφαλείας, μεταβαίνοντας έτσι στη συνιστώμενη μέθοδο 1. Μετά την ενημέρωση του διακομιστή, μην ξεχάσετε να απενεργοποιήσετε την πολιτική ή να επιστρέψετε την τιμή κλειδιού AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle_DW0RDEG /t

Απενεργοποίηση NLA για RDP στα Windows

Εάν το NLA είναι ενεργοποιημένο στο πλάι του διακομιστή RDP στον οποίο συνδέεστε, αυτό σημαίνει ότι το CredSPP χρησιμοποιείται για τον προέλεγχο του χρήστη RDP. Μπορείτε να απενεργοποιήσετε τον έλεγχο ταυτότητας σε επίπεδο δικτύου στις ιδιότητες συστήματος στην καρτέλα Απομακρυσμένη πρόσβαση (Μακρινός) , καταργώντας την επιλογή του πλαισίου ελέγχου «Να επιτρέπεται η σύνδεση μόνο από υπολογιστές που εκτελούν απομακρυσμένη επιφάνεια εργασίας με έλεγχο ταυτότητας επιπέδου δικτύου (συνιστάται)» (Windows 10 / Windows 8).

Στα Windows 7 αυτή η επιλογή ονομάζεται διαφορετικά. Στην καρτέλα Απομακρυσμένη πρόσβασηπρέπει να επιλέξετε την επιλογή " Επιτρέπονται οι συνδέσεις από υπολογιστές που εκτελούν οποιαδήποτε έκδοση της Απομακρυσμένης επιφάνειας εργασίας (επικίνδυνη)/ Επιτρέπονται οι συνδέσεις από υπολογιστές που εκτελούν οποιαδήποτε έκδοση της Απομακρυσμένης επιφάνειας εργασίας (λιγότερο ασφαλής)".

Μπορείτε επίσης να απενεργοποιήσετε τον έλεγχο ταυτότητας σε επίπεδο δικτύου (NLA) χρησιμοποιώντας τον Επεξεργαστή Πολιτικής Τοπικής Ομάδας - gpedit.msc(στα Windows 10 Home, μπορεί να εκκινηθεί το πρόγραμμα επεξεργασίας πολιτικών gpedit.msc) ή χρησιμοποιώντας την κονσόλα διαχείρισης πολιτικών τομέα - GPMC.msc. Για να το κάνετε αυτό, μεταβείτε στην ενότητα Διαμόρφωση υπολογιστή –> Πρότυπα διαχείρισης –> ΣτοιχείαWindows–> Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας – Κεντρικός υπολογιστής συνεδρίας απομακρυσμένης επιφάνειας εργασίας –> Ασφάλεια(Διαμόρφωση υπολογιστή –> Πρότυπα διαχείρισης –> Στοιχεία Windows –> Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας – Κεντρικός υπολογιστής συνεδρίας απομακρυσμένης επιφάνειας εργασίας –> Ασφάλεια), σβήνωπολιτική (Απαιτείται έλεγχος ταυτότητας χρήστη για απομακρυσμένες συνδέσεις με χρήση ελέγχου ταυτότητας επιπέδου δικτύου).

Χρειάζεται και στην πολιτική» Απαιτείται η χρήση ειδικού επιπέδου ασφαλείας για απομακρυσμένες συνδέσειςμέσω πρωτοκόλλου RDP» (Απαιτείται χρήση συγκεκριμένου επιπέδου ασφαλείας για απομακρυσμένες συνδέσεις (RDP)) επιλέξτε Επίπεδο ασφαλείας - ΠΑΑ.

Για να εφαρμόσετε τις νέες ρυθμίσεις RDP, πρέπει να ενημερώσετε τις πολιτικές (gpupdate /force) ή να επανεκκινήσετε τον υπολογιστή. Μετά από αυτό, θα πρέπει να συνδεθείτε με επιτυχία στον διακομιστή απομακρυσμένης επιφάνειας εργασίας.

Η ασφάλεια και η ταχύτητα των διακομιστών ήταν πάντα ένα πρόβλημα και κάθε χρόνο η συνάφειά τους αυξάνεται μόνο. Εξαιτίας αυτού, η Microsoft έχει μετακινηθεί από το αρχικό μοντέλο ελέγχου ταυτότητας από την πλευρά του διακομιστή στον έλεγχο ταυτότητας σε επίπεδο δικτύου.

Ποια είναι η διαφορά μεταξύ αυτών των μοντέλων;
Προηγουμένως, κατά τη σύνδεση με τις υπηρεσίες τερματικού, ο χρήστης δημιουργούσε μια περίοδο λειτουργίας με τον διακομιστή μέσω της οποίας ο τελευταίος φόρτωνε μια οθόνη για να εισαγάγει διαπιστευτήρια για τον χρήστη. Αυτή η μέθοδος καταναλώνει πόρους διακομιστή ακόμη και πριν ο χρήστης επαληθεύσει τη νομιμότητά τους, επιτρέποντας σε έναν παράνομο χρήστη να κατακλύσει πλήρως τους πόρους διακομιστή με πολλαπλά αιτήματα σύνδεσης. Ένας διακομιστής που δεν μπορεί να επεξεργαστεί αυτά τα αιτήματα αρνείται αιτήματα σε νόμιμους χρήστες (επίθεση DoS).

Ο έλεγχος ταυτότητας σε επίπεδο δικτύου (NLA) αναγκάζει το χρήστη να εισαγάγει διαπιστευτήρια σε ένα πλαίσιο διαλόγου από την πλευρά του πελάτη. Από προεπιλογή, εάν δεν υπάρχει έλεγχος πιστοποιητικού ελέγχου ταυτότητας σε επίπεδο δικτύου στην πλευρά του πελάτη, τότε ο διακομιστής δεν θα επιτρέψει τη σύνδεση και δεν θα συμβεί. Η NLA ζητά από τον υπολογιστή-πελάτη να παράσχει τα διαπιστευτήριά του ελέγχου ταυτότητας πριν δημιουργήσει μια περίοδο λειτουργίας με τον διακομιστή. Αυτή η διαδικασία ονομάζεται επίσης έλεγχος ταυτότητας front-end.

Το NLA εισήχθη ξανά στο RDP 6.0 και υποστηρίχθηκε αρχικά Windows Vista. Από την έκδοση RDP 6.1 - υποστηρίζεται από διακομιστές που εκτελούν το λειτουργικό σύστημα Windows Server 2008 και άνω, και η υποστήριξη πελάτη παρέχεται από λειτουργικά συστήματα συστήματα Windows XP SP3 (πρέπει να ενεργοποιήσετε τον νέο πάροχο ασφαλείας στο μητρώο) και υψηλότερο. Η μέθοδος χρησιμοποιεί τον πάροχο ασφαλείας CredSSP (Credential Security Support Provider). Όταν χρησιμοποιείτε το πρόγραμμα-πελάτη απομακρυσμένης επιφάνειας εργασίας για άλλο λειτουργικό σύστημα- πρέπει να μάθετε για την υποστήριξη του NLA.

Πλεονεκτήματα του NLA:

• Δεν απαιτεί σημαντικούς πόρους διακομιστή.
• Πρόσθετο επίπεδο για προστασία από επιθέσεις DoS.
• Επιταχύνει τη διαδικασία διαμεσολάβησης μεταξύ πελάτη και διακομιστή.
• Σας επιτρέπει να επεκτείνετε την τεχνολογία NT "single login" ώστε να λειτουργεί με έναν τερματικό διακομιστή.

Μειονεκτήματα του NLA:

• Άλλοι πάροχοι ασφάλειας δεν υποστηρίζονται.
• Δεν υποστηρίζεται από εκδόσεις πελάτη χαμηλότερες από το Windows XP SP3 και εκδόσεις διακομιστή χαμηλότερες από τον Windows Server 2008.
• Απαιτείται χειροκίνητη ρύθμισημητρώο σε κάθε πρόγραμμα-πελάτη Windows XP SP3.
• Όπως κάθε σχέδιο «μονής σύνδεσης», είναι ευάλωτο στην κλοπή «των κλειδιών για ολόκληρο το φρούριο».
• Δεν υπάρχει επιλογή χρήσης της δυνατότητας "Απαιτείται αλλαγή κωδικού πρόσβασης κατά την επόμενη σύνδεση".